Microsoft voulait empêcher TrickBot de nuire avant le jour de l’élection. Mais malgré ses efforts répétés, le botnet parvient à maintenir une activité cybercriminelle en ouvrant de nouveaux serveurs. Après son utilisation contre des établissements de santé la semaine dernière, les autorités américaines s’inquiètent désormais de son éventuelle utilisation lors de l’Election Day, ce 3 novembre.
Début octobre, Microsoft a réuni autour de lui une coalition d’entreprises de cybersécurité. Leur objectif : étouffer les activités du dangereux TrickBot avant l’élection présidentielle américaine.
« TrickBot » désigne à la fois une organisation, le botnet [un réseau complexe d’appareils infectés, ndlr] qui y est rattaché, et un malware destiné au vol d’information. Il opère souvent aux côtés d’autres botnets comme Emotet ou BazarLoader, et peut servir à déployer des rançongiciels comme Ryuk. C’est cette dernière menace qui inquiétait le plus les chercheurs : les rançongiciels ont la capacité de paralyser certaines infrastructures nécessaires au bon déroulement de l’élection, ou de tout simplement créer un climat de panique.
Cette inquiétude est partagée par le Cyber Command, division spécialisée de la Défense américaine. Un rançongiciel pourrait ralentir le compte des voix ou rendre difficile la diffusion de l’information, le tout dans l’intérêt de pays cherchant à déstabiliser l’élection.
Malgré les efforts répétés de Microsoft pour saisir les serveurs des cybercriminels, ces derniers parviennent encore à en ouvrir d’autres. Résultat : la menace TrickBot planera bien sur l’élection, qui se tient ce 3 novembre.
94 % DES SERVEURS DE COMMANDE DÉSACTIVÉS
La coalition d’entreprise a donc commencé son travail de sape le 12 octobre, consciente qu’elle ne pourrait démanteler le réseau des malfaiteurs que sur la durée. Leur première action avait perturbé l’activité du botnet l’espace de deux jours, mais il était parvenu à trouver de nouveaux serveurs.
Huit jours après ces premiers coups de boutoir, Microsoft annonçait qu’il était passé à la vitesse supérieure : il avait saisi 120 des 128 serveurs de contrôle et commande (C&C) de TrickBot, dont une cinquantaine d’ouverts après la première opération. Le groupe précisait même que les 8 restants étaient clairement identifiés et allaient tomber sous peu. Ces serveurs C&C servent à diriger le million d’appareils infectés (serveurs, ordinateurs, et autres objets connectés) que compte le botnet. Autrement dit, Microsoft espérait avoir déconnecté les cerveaux du TrickBot, et l’avoir ainsi neutralisé, au moins temporairement.
Mais ces efforts n’ont pas suffi. Une semaine après le communiqué de Microsoft, TrickBot était mentionné dans une longue alerte émise conjointement par le FBI et les ministères de l’Intérieur et de la Santé américains. Selon l’entreprise Hold Security, qui a averti les autorités, le botnet était mobilisé pour lancer des cyberattaques contre plus de 400 hôpitaux et autres établissements de santé américains, dans le but de déployer un rançongiciel. Et il avait déjà fait une première victime, un hôpital réduit au travail sans outil informatique, avec des simples crayons et papiers, d’après Reuters.
AFFAIBLI, MAIS TOUJOURS ACTIF, TRICKBOT EMPORTE UNE VICTOIRE SUR MICROSOFT
La menace TrickBot n’a donc pas été écartée avant ce 3 novembre, jour de l’élection présidentielle. Les opérateurs parviennent toujours à exploiter leur botnet grâce à leurs derniers serveurs C&C, répartis entre le Brésil, la Colombie, l’Indonésie et le Kirghistan, d’après les chercheurs de Intel471.
C’est un petit échec pour Microsoft et ses alliés, doublé d’un constat inquiétant pour le monde de la cybersécurité : même une des entreprises de sécurité les plus puissantes au monde, dotée des meilleurs outils et compétences techniques et légales, n’a pas réussi à arrêter complètement l’activité du botnet avant l’élection.
Pour autant, cela ne signifie pas que l’entreprise n’y parviendra pas à l’avenir : en fermant de façon répétée les serveurs de TrickBot, et en limitant ses capacités à en ouvrir d’autres, elle pousse les cybercriminels à consommer des ressources. Elle affaiblit à la fois leurs finances et leur réputation. Le groupe réussit son travail de constriction, mais il prend plus de temps que prévu à porter ses fruits.
Malheureusement, TrickBot n’est qu’un seul biais de déploiement des rançongiciels, parmi des dizaines utilisés par les cybercriminels. Même si Microsoft parvient enfin à l’achever, d’autres botnets comme BazarLoader semblent déjà prêts à reprendre ses activités. En attendant, l’Election Day devrait être particulièrement long pour les équipes de sécurité des acteurs publics et privés impliqués.
Pour en savoir plus: